2021（第九届）电力企业信息安全研讨会 -564- 火电机组网络信息安全隔离技术研究与应用 国家电投集团江西电力有限公司景德镇发电厂，张耘 摘 要：随着计算机技术的飞速发展和广泛应用，近年来，国际互联网安全态势日趋严峻，互联网攻击手段越来越 隐蔽、攻击技术越来越高级，甚至成为商业不正当竞争手段以及国家网络武器，已对国家、企业信息安全构成了严重威 胁。对于火电厂而言，需要在发展信息化的同时，不断加强信息安全保障工作。 为抵御互联网威胁，保护企业敏感信息安全，根据网络隔离、加强敏感信息保护的工作要求，进一步强化企业网络 安全防护措施，完善企业网络安全保障能力，电厂组织研究并编制了技术方案，完成了网络安全隔离整体建设。 关键词：网络隔离；管理；信息安全；防病毒 1.1 网络安全域划分方式与安全域边界控制措施 电厂网络由核心交换区、服务器区、互联网区、 广域网区、商密网区、办公接入区、无线覆盖管理 区等七个区域组成。各区域间仅在广域网和互联网 区边界处部署了防火墙用于访问控制及安全防护， 而其他区域仅在交换机上做了 VLAN 隔离，并没有依 照安全区域的防护等级进行防火墙隔离，尤其是核 心服务器区前并未限制严格的访问控制，给核心应 用系统带来了严重的安全威胁。 1.2 终端安全与终端防病毒 实施改造前，防病毒软件企业版已经过期，信 息内网终端为 100 个点，需要统一上报采购。 1.3 入侵检测与统一监测情况 在入侵检测方面仅在广域网和互联网出口处部 署网络入侵防护设备用于抵御外来攻击，起到入侵 检测防护效果，但是针对核心应用系统，尤其是内 部用户访问应用系统的行为并未做到有效的安全检 测，而当前整个网络也并没有部署能够对网络、系 统及应用的访问操作和运维的行为进行精细记录和 审计的安全审计设备，更无法将网络内容与行为安 全审计纳入到集团的统一审计、监测平台中。 1.4 脆弱性检测与管理 改造前，没有针对信息系统的安全脆弱性管理 与评估设备，而统计安全事件发生的主要原因，其 中占比最大的就是信息系统自身的脆弱性，包括常 见的操作系统、网络设备、数据库和第三方插件， 也有和工作息息相关的 WEB 网站、OA 等应用系统。 因此企业亟需建立起适应于当前系统状况的脆弱性 扫描与管理工具，发现安全漏洞，消除隐患，防患 于未然。 1.5 安全运维管理 在 IT 系统运维管理层面存在一定的问题，主要 面临着包括账号混用，权限管控不严、设备日志审 计效果差以及第三方和远程运维等问题。因此需要 构建一个强健的 IT 运维管理系统用于支撑企业信息 化安全运维工作。 公司按照网络安全隔离建设的规范要求，内、 外网之间采用物理隔离。 按照建设方案要求，首先在信息内、外网均根 据安全需求和防护等级进行了安全域划分，在防护 等级较高的外联区、 DMZ 区和数据交换区新增部署防 火墙，对区域间的访问进行严格控制，防止非授权 访问；其次在信息内网部署网络入侵检测设备，利